Как процесс обновления Ubuntu защищен от атак "человек посередине"? [дубликат]
Возможный дубликат:
Какие политики безопасности существуют для пакетов и скриптов?
Первоначально я хотел узнать, как процесс обновления Ubuntu защищен от подделки пакетов человеком посередине. Я задал этот вопрос: Возможны ли вирусы/руткиты через обновления Ubuntu? [закрыто]
Он был закрыт как дубликат, но предполагаемые дубликаты охватывают некоторые совершенно разные темы (например, как автозапуск cd/flashdrive и т.д. влияет на безопасность и т.д.). Поэтому я повторно разместил свой конкретный вопрос. Как процесс обновления защищен от атаки типа "человек посередине"?
Я чувствую, что этот вопрос не охватывается следующими темами:
Как обеспечивается безопасность системы? (охватывает больше аспект получения root-доступа)
Какие политики безопасности существуют для пакетов и скриптов? (охватывает аспект автозапуска файлов безопасности deb)
1 ответ
Debian (предшественник Ubuntu) уже представил SecureApt или apt-secure, и Ubuntu реализует это. Насколько я понимаю, этот SecureApt является способом обеспечения целостности пакета с помощью проверки md5sum.
Когда запускается apt-get update, файл с именем packages.gz, содержащий хэши пакетов md5sum в хранилище, загружается (безопасно ??) , а затем при установке пакета из репозитория загруженный пакет md5sum проверяется на packages.gz md5sum и устанавливается только в случае совпадения.
Поэтому подделка или манипулирование упакованным должны привести к сравнению md5sum с "несоответствием".
Это не объясняет, как будут проверяться обновления пакетов, которые не могут быть известны во время установки системы или передачи файла «package.gz».
Обновление
Я нашел дополнительную информацию здесь на странице справки Ubuntu по SecureApt :
Об обновленном процессе и его безопасности / последствия для безопасности:
- Существует файл релиза , который содержит суммы пакетов md5 (возможно, этот файл является или содержит упомянутый ранее пакет.g.gz).
- Этот релиз-файл передается довольно безопасно с помощью подписи ключей gpg.
- Файл выпуска обновляется каждый раз, когда обновляются пакеты. Это объясняет, как обновления будут возможны безопасно. (1. Файл подписанного выпуска gpg, переданный с пакетами md5, 2. пакеты (обновленные), переданные и проверенные с помощью верных md5sums соответствующего файла)